Neue Features in XenMobile Server 10.9

Wichtig:

Vorbereitung von Geräteupgrades auf iOS 12: Der Verbindungstyp “Citrix VPN” in der VPN-Geräterichtlinie für iOS unterstützt iOS 12 nicht. Löschen Sie Ihre VPN-Geräterichtlinie und erstellen Sie eine neue mit dem Verbindungstyp “Citrix SSO”.

Die Citrix VPN-Verbindung funktioniert bei zuvor bereitgestellten Geräten nach dem Löschen der VPN-Geräterichtlinie weiterhin. Die neue Konfiguration der VPN-Geräterichtlinie wird bei der Benutzerregistrierung in XenMobile Server 10.9 wirksam.

XenMobile Migration Service

Wenn Sie die On-Premises-Version von XenMobile Server verwenden, hilft Ihnen unser XenMobile Migration Service beim Start in Endpoint Management. Die Migration von XenMobile Server zu Citrix Endpoint Management erfordert keine erneute Registrierung von Geräten.

Weitere Informationen erhalten Sie bei Ihrem lokalen Citrix Vertriebsmitarbeiter, Systems Engineer oder Citrix Partner. In diesen Blogs wird der XenMobile Migration Service erläutert:

Neuer XenMobile Migration Service

Ein Plädoyer für XenMobile in der Cloud

Änderung des Workflows bei der iOS-MDM-Registrierung

Um die Plattformsicherheit durch Reduzierung irreführender Profilinstallationen zu verbessern, plant Apple, einen neuen Workflow für die manuelle Registrierung von Geräten in MDM. Der neue Workflow gilt für alle MDM-Lösungen, einschließlich Citrix XenMobile Server.

Der neue Registrierungsworkflow erfordert, dass die Benutzer die MDM-Profile manuell installieren. Hierfür gehen die Benutzer zur Seite Einstellungen, tippen auf Allgemein und dann auf Profile. Eine Liste der verfügbaren Profile wird dann angezeigt. Wenn ein Benutzer ein Profil nicht innerhalb von 24 Stunden nach dem Herunterladen installiert, wird das Profil automatisch gelöscht.

Die MDM-Registrierung für in Apple Business Manager und Apple School Manager zugewiesene Server bleibt unverändert. Der Workflow für die manuelle Registrierung in MDM ändert sich jedoch. Derzeit müssen Benutzer von iOS-Geräten bei der Registrierung die Stammzertifizierungsstelle und das MDM-Gerätezertifikat eingeben. Mit dem Update von Apple erhalten iOS-Gerätebenutzer nur die MDM-Gerätezertifikataufforderung während der Registrierung.

Zur Verbesserung der Benutzererfahrung nach Implementierung des neuen Workflows durch Apple empfiehlt Citrix, die Servereigenschaft ios.mdm.enrollment.installRootCaIfRequired in false zu ändern. Der Standardwert ist true. Mit der Änderung wird während der MDM-Registrierung ein Safari-Fenster geöffnet, um die Profilinstallation für die Benutzer zu vereinfachen.

Abbildung des Bildschirms mit Servereigenschaften

Um diese Änderung zu unterstützen, ändert Citrix den Wert der Servereigenschaft ios.mdm.enrollment.installRootCaIfRequired in false. Mit der Änderung wird während der MDM-Registrierung ein Safari-Fenster geöffnet, um die Profilinstallation für die Benutzer zu vereinfachen.

Weitere Informationen finden Sie in dem Blogbeitrag Changes ahead for Citrix Endpoint Management MDM enrollment process.

Vor einem Upgrade auf XenMobile 10.9

  1. Aktualisieren Sie den Citrix Lizenzserver auf 11.15.x oder höher, bevor Sie die aktuelle Version von XenMobile Server 10.9 installieren.

    Die neueste Version von XenMobile erfordert Citrix License Server 11.15 (Mindestversion).

    Hinweis:

    Das Subscription Advantage-Datum (SA) für XenMobile 10.9 ist der 14. September 2018. Das Subscription Advantage-Datum (SA) Ihrer Citrix Lizenz muss nach diesem Datum liegen. Das SA-Datum steht neben der Lizenz auf dem Lizenzserver. Wenn Sie die aktuelle Version von XenMobile mit einer älteren Lizenzserverumgebung verbinden, schlägt die Konnektivitätsprüfung fehl und der Lizenzserver kann nicht konfiguriert werden.

    Zum Verlängern des SA-Datums für Ihre Lizenz laden Sie die aktuelle Lizenzdatei vom Citrix Portal herunter und laden Sie sie in den Lizenzserver hoch. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX209580.

  2. Clusterumgebungen: Für die Bereitstellung von iOS-Richtlinien und -Apps auf Geräten mit iOS 11 oder später gilt folgende Anforderung. Ist NetScaler Gateway für SSL-Persistenz konfiguriert, müssen Sie auf allen XenMobile Server-Knoten Port 80 öffnen.

  3. Wenn die virtuelle Maschine, auf der die zu aktualisierende XenMobile Server-Instanz ausgeführt wird, weniger als 4 GB RAM hat, erhöhen Sie den RAM auf mindestens 4 GB. Beachten Sie, dass der empfohlene Mindest-RAM für Produktionsumgebungen bei 8 GB liegt.

  4. Empfehlung: Vor der Installation eines XenMobile-Updates verwenden Sie die Funktionen der virtuellen Maschine zum Erstellen eines Systemsnapshots. Sichern Sie außerdem die Konfigurationsdatenbank des Systems. Sollten bei einem Upgrade Probleme auftreten, können Sie mit vollständigen Backups eine Wiederherstellung vornehmen.

Nach einem Upgrade auf XenMobile 10.9

Wenn Funktionen, für die ausgehende Verbindungen eingesetzt werden, nicht mehr funktionieren und Sie die Verbindungskonfiguration nicht geändert haben, überprüfen Sie das XenMobile Server-Protokoll auf Fehlermeldungen wie etwa “Unable to connect to the VPP Server: Host name ‘192.0.2.0’ does not match the certificate subject provided by the peer.”

Ein Fehler bei der Zertifikatvalidierung bedeutet, dass Sie die Hostnamenüberprüfung unter XenMobile Server deaktivieren müssen. In der Standardeinstellung ist die Hostnamenüberprüfung für ausgehende Verbindungen mit Ausnahme des Microsoft PKI-Servers aktiviert. Wenn die Hostnamenüberprüfung Fehler in der Bereitstellung verursacht, ändern Sie die Servereigenschaft disable.hostname.verification in True. Der Standardwert dieser Eigenschaft ist false.

Zugriff auf XenMobile Tools über die Konsole

Sie können auf folgende XenMobile Tools über die XenMobile-Konsole zugreifen:

  • XenMobile Analyzer: Identifizieren und analysieren Sie potenzielle Probleme mit der Bereitstellung.
  • APNs-Portal: Fordern Sie ein signiertes APNs-Zertifikat von Citrix an und senden Sie das Zertifikat dann an Apple.
  • Auto Discovery Service: Konfigurieren Sie AutoDiscovery für XenMobile Ihrer Domäne.
  • Verwalten von Pushbenachrichtigungen: Verwalten Sie Pushbenachrichtigungen für iOS und mobile Windows-Produktivitäts-Apps.
  • MDX Service: Umschließen Sie Apps, um sie mit XenMobile zu verwalten.

Zum Zugriff auf diese Tools gehen Sie zu Einstellungen > XenMobile Tools.

Neuer Workflow zum Hinzufügen einer App aus dem Google Play Store

Statt Google Play-Anmeldedaten beim Hinzufügen einer App anzugeben, fügen Sie jetzt die Paket-ID der Android-App aus dem öffentlichen Store hinzu.

  1. Kopieren Sie die Paket-ID aus dem Google Play Store. Die ID ist in der URL der App.

    Bild der Suche nach App

  2. Beim Hinzufügen einer App aus einem öffentlichen Store in der Citrix Endpoint Management-Konsole, fügen Sie die Paket-ID in die Suchleiste ein.

    Bild der Suche nach App

  3. Wenn die Paket-ID gültig ist, wird eine Benutzeroberfläche angezeigt, auf der Sie App-Details eingeben können.

    Bild der Suche nach App

Weitere Informationen finden Sie unter Hinzufügen von Apps aus einem öffentlichen App-Store.

Neue öffentliche REST-APIs

  • Eine neue Version der API zum Abrufen von Geräten durch Filter bietet zusätzliche Details zu Geräten. Weitere Informationen finden Sie in dem PDF-Dokument XenMobile Public API for REST Services im Abschnitt 3.16.2 “Get Devices by Filters (version 2)”.

  • Möglichkeitder Neugenerierung von Stamm-ZS, Geräte-ZS und Server-ZS und der Verlängerung von Gerätezertifikaten

    XenMobile Server-intern werden folgende Zertifizierungsstellen für PKI verwendet: Stamm-ZS, Geräte-ZS und Server-ZS. Diese Zertifizierungsstellen werden als logische Gruppe klassifiziert und erhalten einen Gruppennamen. Wenn eine neue XenMobile Server-Instanz bereitgestellt wird, werden die drei Zertifizierungsstellen generiert und erhalten den Gruppennamen “default”.

    Sie können die Zertifizierungsstellen für unterstützte iOS-, macOS- und Android-Geräte über die XenMobile Server-Konsole oder die öffentliche REST-API erneuern. Registrierte Windows-Geräte müssen von den Benutzern erneut registriert werden, damit sie eine neue Geräte-ZS erhalten.

    Mit folgenden APIs ist das Aktualisieren bzw. Neugenerieren der XenMobile Server-internen PKI-Zertifizierungsstellen und das Verlängern der von ihnen ausgestellten Gerätezertifikate möglich.

    • Neue Gruppenzertifizierungsstellen erstellen
    • Neue ZS aktivieren und alte deaktivieren
    • Gerätezertifikat in einer konfigurierten Liste von Geräten verlängern. Registrierte Geräte funktionieren weiterhin ohne Unterbrechung. Ein Gerätezertifikat wird ausgegeben, wenn ein Gerät eine Verbindung zum Server herstellt.
    • Liste der Geräte zurückgeben, die noch die alte ZS verwenden.
    • Alte Zertifizierungsstelle löschen, wenn alle Geräte die neue erhalten haben

    Informationen finden Sie im PDF-Dokument XenMobile Public API for REST Services in folgenden Abschnitten:

    • Section 3.16.58, Renew Device Certificate
    • Section 3.23, Refresh XenMobile CA Group

    Als Teil dieses Features steht die neue Sicherheitsaktion Zertifikaterneuerung über die Konsole Geräte verwalten zur Verfügung. Diese Aktion erneuert das Registrierungszertifikat auf Geräten.

    Voraussetzungen:

    • Die Features zum Erneuern von Zertifikaten sind standardmäßig deaktiviert. Legen Sie zum Aktivieren des Features zum Aktualisieren von Zertifikaten den Wert der Servereigenschaft refresh.internal.ca auf true fest.

    Wichtig:

    Ist der NetScaler für SSL-Offload eingerichtet, stellen Sie beim Generieren eines neuen Zertifikats sicher, dass Sie den Load Balancer mit der neuen cacert.perm aktualisieren. Weitere Informationen zur Einrichtung von NetScaler Gateway finden Sie unter To use SSL Offload mode for NetScaler VIPs.